On Wed, Jul 17, 2002 at 11:07:12AM +0200, Rainer Ellinger wrote:
> Jens Benecke schrieb:
> > Unser Firewall läuft momentan mit iptables inkl. transparentem Proxy
>
> Huahua - das böse Wort: transparenter Proxy. Ich will gar nicht auf
> den technischen Aspekt raus, das wäre für mich schon Gegenargument
> genug. Dazu findest Du sicherlich ausreichend Pro/Contra im Netz.
Drei Gründe für uns:
- von den 350 Leuten hier haben mit Sicherheit mehr als 100 bei ihrem
Browser niemals die Startseite abgestellt, und der holt die jedes mal
wieder neu (locker 50 mal am Tag, bei Vielbrowsern).
Man mags ja nicht glauben, aber selbst der IE6 beherrscht noch kein
komplettes HTTP 304, die MSN-Seite wird immer komplett neu geholt.
Helden.
- wir können wirksam das wiederholte Downloaden von riesigen Patches
usw. verhindern bzw. cachen. Wenn 30 Leute ein apt-get update mit
200MB machen oder sich ein 150MB grosses Servicepack ziehen, ohne
einen Proxy eingestellt zu haben, dann macht das einen ziemlichen
Unterschied.
- Es gibt Clients, die können keinen Proxy einstellen. Die sollen aber
auch cachen können. (z.B. embedded Browser von irgendwelchen
Organizern oder Web-Pads)
> Für mich ist es einfach eine Stilfrage. Ich finde es unangemessen die
> Nutzer zu gängeln oder gar im Unklaren zu lassen. Wenn die Betriebs-
Sind sie nicht. Alles was wir machen ist auf der Homepage
veröffentlicht.
> vorgaben einen Proxy erfordern, dann nutze ich auch die Funktion des
> Redirects, allerdings nur um die Nutzer auf einen extra Intranet vhost
> zu leiten, der als ErrorDocument die index.html ausliefert, die
> erklärt, warum man einen Proxy benutzen muss, wie man dies einstellt,
> usw. Guter DAU Mechanismus: die Leute wollen einfach in's Web und
> bekommen erst mal die Betriebsbedingungen und Anleitungen auf den
> Schirm.
Das ist halt der Punkt, damit würden uns zuviele Leute die Bude
einrennen. "Mein internet geht nicht" und dann kriegt man einen Ausdruck
der "Seite kann nicht angezeigt werden" IE-Fehlermeldung, natürlich mit
versteckter URL ("das geht dich gar nichts an").
Wir haben schon diverse Squid-Fehlermeldungen mit ausführlichen
Erklärungen angepasst, aber die Leute sehen dann nur "Seite kann nicht
angezeigt werden" und laufen zu uns.
Und genau das wollen wir vermeiden. Anstatt sie gegen eine Wand laufen
zu lassen, biegen wir die Wand halt so, daß sie einfach in die richtige
Richtung weiterlaufen.
> > Unser momentaner Gateway (P-Pro 200 - der Vorgänger war ein 486DX-33
> > :) hat IIRC momentan drei Netzwerkkarten. Er filtert mit iptables
> > und macht Accounting (via net-acct und ein paar Perl-Skripten und
> > einer
>
> Hehe, ich kenne Leute, die meinen ein Gateway sollte möglichst
> schwachbrüstig sein, um potentiellen Hackern kein zu leistungsfähiges
> System zu bieten...
Naja, wer Compiler usw. auf einem Firewall installiert ist auch selber
schulz. Unser Firewall hat eine 200MB Festplatte, da ist für sowas auch
einfach kein Platz. :)
> Ich habe da leider keine greifbaren Werte, aber jetzt noch ein paar
> witzige Ideen, wie den Nutzern ein Webinterface an die Hand geben, mit
> dem Sie Firewall-Regeln für ihre feste IP am Gateway definieren
> können. Und fleissig conntrack verwenden, mtrg oder ähnliche
> CPU-Killer und es wird sicher eng mit einem P200.
Nicht hier. da läuft transproxy (Debian-Paket), net-acct (dito) und
iptables - mehr nicht. Naja, sshd noch. ;)
> Die Methode eine alte Kiste für's Gate zu verwenden ist sehr
> verbreitet. Ich unterstütze das, wenn der Gedanke dahinter steht, dass
> ein bereits benutztes System, dass so schon einige Monate sauber li..
> ..d heutzutage kann in einigen Szenarios auch ein Gateway eine
> anständige CPU-Power benötigen.
Naja. Unser Server (der P200 war vorher der Hauptserver, jetzt ist das
ein Athlon-XP) hatte Uptimes von 300d und mehr, und das waren bisher
ausnahmslos Stromausfälle.
> > über SSH getunnelten MySQL-Verbindung zum Hauptserver). Momentan
> > geht da pro Monat ca 200-300GB Traffic drüber.
> Ordentlicher Wert. Bei einer 2Mbit im Grunde schon Vollsättigung, wenn
> sich das in den üblichen Gausschen Schwankungen über den Tag verteilt.
> Hansenet freut sich sicher schon ;-)
So isses. Guck dir doch die Statistik mal an (wir haben seit dem GAU
neu angefangen zu zählen, die alten Statistiken kommen aber evtl. auch
wieder online).
> > Server und das Gateway. An der anderen Seite des Gateways hängt eine
> > Cisco (2500?), und daran hängt der SDSL-Splitter zur TUHH.
> Wenn die Cisco eine eigene IP hat und sich von einem Client, der eine
> IP im gleichen Netz hat, nicht direkt (sondern nur über das Gate)
> ansprechen lässt, sollte alles im grünen Bereich sein. Na ja, dann
So scheint es zu sein. Es gibt zwischen Firewall, Cisco und DSL-Splitter
bzw. PPP-Partner in der TUHH ein kleines Privat-Netz mit 255.255.255.252
als Netmask.
> könnt Ihr ja Eurer RZ verblüffen, dass man mittlerweile für den Router
> einer 2Mbit keine -zig tausend Taler ausgeben muss, sondern meistens
> ein kleines harmloses Kästchen kostenlos gestellt bekommt. Sieht man
:-)
> trotzdem noch häufig, teure Ciscos als reines Leitungsabschlussgerät
Hat eine Cisco denn 50Ohm? ;-)
> mit einem belanglosen statischen Routing - Hauptsache Markenlabel.
Natürlich. Wir haben auch die Auflage, an Switches usw. nur 3Com zu
kaufen - warum, weiss keiner. "Ist halt so."
> > Ich will den Leuten, die meinen es zu brauchen, eine Möglichkeit
> > geben, ihren Traffic-Wahn auszuleben - und die, die es nicht
> > interessiert, weil sie sowieso nur 10MB im Monat für drei EMails und
> > etwas rumgesurfe brauchen, nicht weiter stören.
> Absolut eine gute Idee, primär mal nur private IPs per DHCP zu
> verteilen. Da können die User nicht viel falsch machen. Dabei wird am
> Gate MASQUERADE in Richtung Hansenet und für bestimmte Dienste od..
DHCP geht momentan noch nicht. Das Studentenwerk will eindeutige
Zimmer-IP-Zuweisungen (von wegen Haftbarkeit usw). Und soweit ich weiss,
kann man zwar IP und MAC problemlos koppeln, aber noch nicht IP und
Hub-Port (=Zimmer).
Hätte aber den eindeutigen Vorteil, daß wir keine Spoofer mehr hätten -
man kriegt per DHCP immer "seine" IP (auf "seine" MAC), egal wo man
dranhängt.
--
mfg, Jens Benecke /// http://www.linuxfaq.de, http://www.linux.ms
This mail is an attachment? Read http://www.jensbenecke.de/misc/outlook.html
http://www.hitchhikers.de - Die größte kostenlose Mitfahrzentrale im Internet
Attachment:
pgpTW_iDG1NGQ.pgp
Description: PGP signature